CodeZine(コードジン)

特集ページ一覧

Google、オープンソースソフトウェアの脆弱性対処のためのフレームワークを提案

  • LINEで送る
  • このエントリーをはてなブックマークに追加
2021/02/10 08:00

 米Googleは、オープンソースソフトウェアの脆弱性に対処する方法として、「知る、防ぐ、修正する」というフレームワークを提案している。

 Googleが提案するフレームワークは、

  • ソフトウェアの脆弱性について知る
  • 新しい脆弱性の追加を防ぐ
  • 脆弱性を修正または削除する

で構成される。

 「ソフトウェアの脆弱性について知る」では、利用可能なデータソースからの正確な脆弱性メタデータの取得や、オープンソースの脆弱性を追跡および維持し、その結果を理解し、緩和策を管理するための脆弱性データベースを利用する標準脆弱性スキーマの構築、脆弱性の影響を受けるソフトウェアをすばやく理解するためのツールが必要となる。

 「新しい脆弱性の追加を防ぐ」では、ソフトウェア開発にあたって使用するパッケージの脆弱性を知ることが必要であり、それを実現する方法の1つとして、「セキュリティスコアカード」プロジェクトを紹介している。

 「脆弱性を修正または削除する」では、脆弱性を削除するためのオプションを理解するとともに、より迅速な修正を行うための通知の促進、広く使用されているバージョンの修正を求めた。

 そのほか、同フレームワークに基づく、クリティカルなソフトウェアにおける脆弱性の防止策として、

  • より高い基準に値する「重要な」オープンソースプロジェクトの基準を定義する
  • 重要なソフトウェアに一方的な変更を加えない
  • 重要なソフトウェアの参加者の認証
  • 通知リスクの変化をカバーするよう通知を拡張
  • ソフトウェアアーティファクトへの透明性の追加
  • 信頼できるビルドプロセスの構築

を提案している。

関連リンク

  • LINEで送る
  • このエントリーをはてなブックマークに追加

あなたにオススメ

All contents copyright © 2005-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5